HOSTELELLA Documentación legal

Política de Privacidad

Versión 1.5 Vigente desde el 27 de junio de 2026 RGPD · LOPDGDD

1. Responsable del tratamiento

De conformidad con el Reglamento (UE) 2016/679 (Reglamento General de Protección de Datos – RGPD), la Ley Orgánica 3/2018 (LOPDGDD), la normativa derivada de la Directiva 2002/58/CE (ePrivacy), la LSSI-CE (cuando resulte aplicable para cookies/comunicaciones electrónicas), el Reglamento (UE) 2024/1689 (Reglamento de Inteligencia Artificial) cuando proceda y demás normativa europea y española aplicable, el responsable del tratamiento es:

Empresa: HERMANOS VARELA LUIS SL
CIF: B67073320
Domicilio social: Travessera de les Corts 356, Local 2, 08029 Barcelona, España
Registro Mercantil: Registro Mercantil de Barcelona, Sección 8, Hoja B-509004, inscripción 4 (I/A 4); antecedentes: Tomo 46087, Folio 53
Email legal y privacidad: legal@hostelella.com

HOSTELELLA no ha designado formalmente un Delegado de Protección de Datos cuando no resulte obligatorio conforme al artículo 37 RGPD y al artículo 34 LOPDGDD. Si en el futuro fuera obligatorio o se designara voluntariamente, se publicará el contacto correspondiente y se notificará a la AEPD cuando proceda.

2. Alcance, destinatarios y naturaleza B2B

HOSTELELLA es una plataforma digital profesional (SaaS y, en su caso, funcionalidades de marketplace e interacciones entre empresas) destinada exclusivamente a uso empresarial y comercial (B2B), que ofrece herramientas de gestión operativa, tratamiento de documentos, gestión de equipos y turnos, y asistencia analítica.

El Servicio no está destinado a uso personal, doméstico o de consumidores. Los usuarios actúan en un contexto profesional o empresarial. Cuando un usuario contrata, configura un negocio o acepta condiciones en nombre de una empresa, debe contar con autorización suficiente para ello.

3. Exclusión de menores como usuarios

El acceso y uso del Servicio como usuario está reservado a adultos. Los usuarios deben tener al menos 18 años. HOSTELELLA no recopila ni trata deliberadamente datos personales de menores que actúen como usuarios.

Aclaración importante: la restricción de 18 años se refiere a quien usa la plataforma. En cambio, los datos de personas gestionadas por el Cliente empresarial (p. ej., empleados incluidos en la planificación de turnos) pueden, en su caso, referirse a personas trabajadoras menores de edad legalmente contratadas. En tal supuesto, el Cliente actúa como Responsable y es el único responsable de la legalidad de la contratación de menores y del cumplimiento de las normas laborales de protección de menores (jornada, descansos, trabajo nocturno, etc.). Cualquier acceso o uso de la plataforma por un menor es no autorizado y contrario al alcance previsto del Servicio.

4. Tipos de interesados

5. Categorías de datos personales tratados

En función del uso del Servicio, pueden tratarse las siguientes categorías de datos:

5.1 Datos que pueden revelar información sensible (ausencias)

La gestión de ausencias y tiempo libre puede incluir categorías como “baja”. Cuando una ausencia se asocia a una baja médica, dicha información puede revelar datos relativos a la salud (categoría especial del artículo 9 RGPD). En estos casos:

Salvo lo anterior, el Servicio no está diseñado para tratar categorías especiales del artículo 9 RGPD. El Cliente no debe cargarlas salvo que disponga de base jurídica adecuada, sea necesario y aplique salvaguardas suficientes.

6. Origen de los datos (fuentes)

7. Distribución de roles (Responsable / Encargado / Corresponsable)

7.1 Cuando HOSTELELLA actúa como Responsable

HOSTELELLA actúa como Responsable del tratamiento respecto de los datos necesarios para operar el Servicio, tales como: administración de cuentas, autenticación, control de accesos, seguridad, prevención de fraude/abuso, soporte, comunicaciones del servicio y facturación (si procede).

7.2 Cuando HOSTELELLA actúa como Encargado

Cuando los clientes empresariales cargan documentos y registros de negocio o configuran datos de personal (incluida la gestión de turnos, equipo y ausencias) que contienen datos personales de empleados, clientes, proveedores u otros terceros, HOSTELELLA actúa como Encargado del tratamiento por cuenta del cliente empresarial, conforme al correspondiente Acuerdo de Encargo del Tratamiento (DPA) del artículo 28 RGPD.

En estos casos, el cliente empresarial permanece como Responsable del tratamiento y es el único responsable de: (i) informar a los interesados, (ii) disponer de base jurídica adecuada, (iii) atender derechos y (iv) cumplir obligaciones aplicables, incluidas las laborales (jornada, descansos, protección de menores e información a la representación legal de las personas trabajadoras).

7.3 Corresponsabilidad (si aplica)

En determinados flujos (p. ej., funcionalidades de marketplace, comunicaciones entre empresas o intercambio de pedidos/datos entre partes), HOSTELELLA y otras entidades pueden determinar conjuntamente fines y medios del tratamiento y actuar como corresponsables conforme al artículo 26 RGPD. En esos casos, se definirá el marco de responsabilidades aplicable y el punto de contacto para el ejercicio de derechos. La corresponsabilidad no se presume por defecto y solo aplicará cuando exista un acuerdo, configuración o flujo que lo justifique.

8. Finalidades del tratamiento

9. Bases jurídicas

Tratamos datos personales en base a una o varias de las siguientes bases jurídicas:

Respecto de los datos tratados por cuenta del Cliente (incluida la planificación de turnos y la gestión de equipo), la base jurídica frente a las personas trabajadoras la determina el Cliente como Responsable (típicamente la ejecución del contrato laboral, el cumplimiento de obligaciones laborales o un interés legítimo de organización del trabajo).

FinalidadBase jurídica principalNotas
Cuenta, autenticación, roles y prestación del ServicioContrato o medidas precontractuales; interés legítimo en seguridadNecesario para operar una cuenta profesional.
Documentos, OCR/IA, informes y datos de negocio cargados por el ClienteEncargo del tratamiento por cuenta del Cliente; contratoEl Cliente decide la base jurídica frente a sus empleados, clientes, proveedores o terceros.
Gestión de equipo, jornada, turnos y ausencias (incl. generación asistida por IA)Encargo del tratamiento por cuenta del Cliente; el Cliente determina la base laboral frente a sus trabajadoresHerramienta de apoyo con revisión humana; el Cliente conserva la decisión final.
Soporte, incidencias, avisos de seguridad y comunicaciones transaccionalesContrato e interés legítimoNo son comunicaciones comerciales salvo que se indique expresamente.
Facturación, contabilidad, obligaciones fiscales y defensa jurídicaObligación legal e interés legítimoSe aplican plazos legales y bloqueo cuando proceda.
Analítica web no esencialConsentimientoGoogle Analytics solo se carga tras aceptación de analítica/cookies.
Marketing directo B2BConsentimiento o interés legítimo cuando la ley lo permitaSiempre con mecanismo de baja.

10. Permisos del dispositivo (App móvil)

Para ciertas funciones, la App puede solicitar permisos opcionales del dispositivo:

Estos permisos se basan en tu consentimiento y pueden revocarse en cualquier momento desde los ajustes del dispositivo. La revocación puede limitar el uso de determinadas funciones, pero no impedir el uso básico del Servicio cuando sea posible.

11. Inteligencia Artificial y tratamientos automatizados

HOSTELELLA puede utilizar tratamientos automatizados e inteligencia artificial para extraer información de documentos, clasificar datos, asistir en consultas y generar propuestas de planificación de turnos y resolver el marco o convenio laboral aplicable a partir de la ubicación y el sector del negocio.

Estas funciones están diseñadas como herramientas de asistencia y productividad, no como sustituto de revisión humana ni como sistema destinado por defecto a adoptar decisiones laborales, fiscales, contables, crediticias, legales o de impacto significativo. Las propuestas de turnos generadas por IA requieren revisión y aprobación humana (por la persona con rol de manager o superior) antes de su publicación o aplicación; el Cliente y sus responsables conservan en todo momento la decisión final.

Sin decisiones exclusivamente automatizadas. HOSTELELLA no realiza decisiones basadas únicamente en el tratamiento automatizado que produzcan efectos jurídicos sobre las personas o las afecten significativamente de modo similar, en el sentido del artículo 22 RGPD. La generación de turnos es un apoyo a la decisión sujeto a intervención humana.

Reglamento de Inteligencia Artificial (UE 2024/1689). Las funciones de IA se conciben como herramientas de apoyo. Cuando una funcionalidad se utilice en el ámbito laboral (p. ej., planificación de turnos), el Cliente actúa como responsable del despliegue (deployer) en su organización y debe garantizar el uso conforme a Derecho, la supervisión humana y la información a las personas afectadas. En particular, en España, el Cliente debe cumplir el derecho de la representación legal de las personas trabajadoras a ser informada de los parámetros, reglas e instrucciones de los algoritmos o sistemas de IA que incidan en las condiciones de trabajo (art. 64.4.d del Estatuto de los Trabajadores).

Para minimizar el tratamiento, antes de enviar información a proveedores de IA se aplican medidas como la pseudonimización (p. ej., el generador de turnos opera con iniciales y datos operativos, no con nombres completos) y la exclusión de datos no necesarios (p. ej., el motivo de las ausencias no se transmite). Los resultados pueden contener inexactitudes o limitaciones. El Servicio no está diseñado para identificación biométrica, puntuación social, evaluación emocional, selección de personal, evaluación disciplinaria automatizada ni otras finalidades prohibidas o de alto riesgo salvo contrato, evaluación y salvaguardas específicas. HOSTELELLA no utiliza Datos del Cliente para entrenar modelos propios o de terceros salvo autorización expresa, contrato específico o configuración clara del Cliente.

12. Cookies y tecnologías de seguimiento (web/PWA)

En la web y/o PWA, HOSTELELLA puede utilizar cookies, píxeles o tecnologías similares para:

Las cookies no esenciales se utilizarán únicamente cuando exista consentimiento, conforme a ePrivacy y la normativa aplicable. La Política de Cookies específica complementa esta información y prevalece para la gestión granular de cookies.

13. Destinatarios, encargados y subencargados

No vendemos datos personales. Los datos pueden ser accesibles por proveedores seleccionados que actúan como encargados/subencargados bajo obligaciones contractuales de confidencialidad, seguridad y cumplimiento, incluyendo proveedores de:

Cuando HOSTELELLA actúa como encargado, los subencargados se rigen por el DPA, el Anexo de Subencargados y los requisitos del artículo 28 RGPD. La lista actualizada de subencargados se publica en el Anexo de Subencargados.

14. Autoridades y defensa de derechos

Podremos comunicar datos a autoridades competentes cuando exista una obligación legal o requerimiento legítimo, y/o para la defensa de derechos, prevención de fraude, seguridad o respuesta a reclamaciones, conforme al RGPD.

15. Reestructuraciones corporativas

En caso de fusión, adquisición, reorganización, venta de activos o procedimientos equivalentes, los datos podrán ser comunicados a terceros en la medida necesaria y proporcional, con garantías adecuadas.

16. Transferencias internacionales

Cuando se realicen transferencias internacionales de datos fuera del Espacio Económico Europeo, aplicamos garantías adecuadas, incluyendo decisiones de adecuación, Cláusulas Contractuales Tipo (SCC), el EU-US Data Privacy Framework cuando sea aplicable y medidas complementarias, conforme a los artículos 44–49 RGPD. Determinados proveedores de IA y comunicaciones están ubicados en Estados Unidos; en tales casos se aplican los mecanismos anteriores y la minimización descrita en esta Política.

En determinados casos, puede existir el riesgo de acceso por autoridades de terceros países. En esos supuestos, aplicaremos medidas complementarias cuando proceda y, cuando sea necesario, se informará y/o recabará consentimiento conforme a la normativa aplicable.

17. Conservación de datos

Conservamos los datos personales únicamente durante el tiempo necesario para las finalidades descritas en esta Política y por los plazos exigidos por obligaciones legales, fiscales, contables, de auditoría y seguridad. Posteriormente, se eliminarán o anonimizarán, salvo obligación de conservación o necesidad para defensa de reclamaciones.

La conservación se detalla en la Política de Retención. Cuando HOSTELELLA actúa como encargado, la conservación se rige por el DPA e instrucciones del cliente, sin perjuicio de obligaciones legales.

18. Medidas de seguridad

HOSTELELLA aplica medidas técnicas y organizativas apropiadas (art. 32 RGPD) para garantizar un nivel de seguridad adecuado al riesgo. La Política de Seguridad describe las medidas principales, incluyendo control de acceso, mínimo privilegio, cifrado cuando proceda, registro de actividad, gestión de incidencias y continuidad del servicio.

No obstante, ningún sistema puede garantizar seguridad absoluta. Los usuarios son responsables de mantener el acceso seguro a sus cuentas y dispositivos.

19. Brechas de datos personales

En caso de brecha de datos personales, HOSTELELLA seguirá procedimientos internos para evaluar el riesgo y, cuando corresponda, notificará a la autoridad de control competente y/o a las personas afectadas conforme a los artículos 33 y 34 RGPD.

Cuando HOSTELELLA actúa como encargado, las notificaciones al responsable se gestionarán conforme al DPA.

20. Derechos de las personas interesadas

Las personas interesadas pueden ejercer sus derechos de acceso, rectificación, supresión, limitación, oposición y portabilidad, así como retirar el consentimiento cuando proceda, contactando con: legal@hostelella.com.

Podremos solicitar información razonable para verificar identidad o representación. Responderemos en el plazo de un mes desde la recepción de la solicitud; dicho plazo podrá prorrogarse hasta dos meses adicionales cuando sea necesario por complejidad o número de solicitudes, informando al solicitante conforme al RGPD.

Si la solicitud se refiere a datos tratados por HOSTELELLA como encargado por cuenta de un cliente empresarial, podremos derivar al solicitante al responsable correspondiente, que es quien debe atender la solicitud.

21. Reclamaciones

También tienes derecho a presentar una reclamación ante la Agencia Española de Protección de Datos (AEPD).

22. Comunicaciones

Podremos enviar comunicaciones necesarias para la operativa del Servicio (p. ej., alertas de seguridad, notificaciones transaccionales, avisos de cuenta). Las comunicaciones comerciales, si se implementan, se enviarán únicamente conforme a la normativa aplicable y, cuando sea exigible, con consentimiento (opt-in) y mecanismo de baja (opt-out).

23. Enlaces a terceros

La plataforma puede contener enlaces a servicios de terceros (p. ej., mapas, integraciones). HOSTELELLA no es responsable de las prácticas de privacidad de dichos terceros. Se recomienda revisar sus políticas correspondientes.

24. Cambios en esta Política

Esta Política de Privacidad podrá actualizarse para reflejar cambios legales, regulatorios u operativos. La versión vigente estará disponible dentro del Servicio y será aplicable desde su fecha de publicación.

25. Limitación de responsabilidad (Privacidad)

Nada en esta Política limita los derechos imperativos previstos por la normativa de protección de datos. En la máxima medida permitida por la ley, HOSTELELLA no será responsable de daños derivados de: (i) uso indebido del Servicio, (ii) cargas ilícitas de datos por parte de clientes/usuarios, o (iii) acciones realizadas únicamente con base en resultados informativos, incluidas propuestas de IA aplicadas sin la revisión humana exigida.